Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

将 SSL 证书替换为 Apstra ZTP 服务器 GUI

为了安全起见,我们建议您将 Apstra ZTP 默认自签名 SSL 证书替换为您自己的证书颁发机构提供的证书。Web 服务器证书管理由最终用户负责。瞻博网络支持仅是尽力而为。

首次启动 Apstra ZTP 服务器时,系统会自动生成一个唯一的自签名证书和密钥,并将其存储在 Apstra ZTP NGINX 容器中。该证书用于加密 Apstra ZTP 服务器。我们建议替换默认 SSL 证书。

  1. 使用内置的 openssl 命令创建新的 OpenSSL 私钥。
  2. 创建证书签名请求。如果要为 Apstra ZTP 服务器 HTTPS 服务创建具有主观备用名称 (SAN) 的签名 SSL 证书,则必须手动创建 OpenSSL 模板。有关详细信息,请参阅瞻博网络支持知识库文章 KB37299
  3. 将您的证书签名请求 (nginx.csr) 提交给您的证书颁发机构 (CA)。所需步骤超出了本文档的范围;CA 指令因实现而异。任何有效的 SSL 证书都将起作用。下面的示例用于对证书进行自签名。
  4. 验证 SSL 证书是否匹配:私钥、公钥和 CSR。
  5. 编辑指向新ssl_certificate_key密钥和证书文件的 NGINX SSL 配置文件。/containers_data/nginx/conf.d/ssl.conf ssl_certificate请注意,中的/containers_data/nginx文件是从 NGINX 容器中目录中的文件/data映射而来的。
  6. 要加载新证书,请重新启动 nginx 容器。
  7. 确认新证书位于 Web 浏览器中,并且新证书公用名匹配(例如,“aos-server.apstra.com”)。
下一步:配置 Apstra ZTP 服务器 GUI 的凭据。